Samouczek: tworzenie dwukierunkowego zaufania lasu w usługach Microsoft Entra Domain Services przy użyciu domeny lokalnej (wersja zapoznawcza)

Relację zaufania lasu można utworzyć między usługami Microsoft Entra Domain Services i lokalnymi środowiskami usług AD DS. Relacja zaufania lasu umożliwia użytkownikom, aplikacjom i komputerom uwierzytelnianie w domenie lokalnej z domeny zarządzanej usług Domain Services lub na odwrót. Zaufanie leśne może ułatwić użytkownikom dostęp do zasobów w scenariuszach, takich jak:

• Środowiska, w których nie można synchronizować skrótów haseł lub gdy użytkownicy logują się wyłącznie przy użyciu kart inteligentnych i nie znają hasła.
• Scenariusze hybrydowe, które wymagają dostępu do domen lokalnych.

Możesz wybrać spośród trzech możliwych kierunków podczas tworzenia relacji zaufania w lesie, w zależności od tego, jak użytkownicy muszą uzyskiwać dostęp do zasobów. Usługi Domain Services obsługują tylko relacje zaufania lasu. Zewnętrzne zaufanie do podrzędnej domeny w środowisku lokalnym nie jest obsługiwane.

Kierunek zaufania	Dostęp użytkowników
Dwukierunkowa (wersja przedpremierowa)	Umożliwia użytkownikom zarówno w domenie zarządzanej, jak i w domenie lokalnej dostęp do zasobów w obu domenach.
Jednokierunkowa wychodząca	Umożliwia użytkownikom w domenie lokalnej dostęp do zasobów w domenie zarządzanej, ale nie na odwrót.
Ruch przychodzący jednokierunkowy (wersja zapoznawcza)	Umożliwia użytkownikom w domenie zarządzanej dostęp do zasobów w domenie lokalnej.

Z tego samouczka dowiesz się, jak wykonywać następujące działania:

• Konfigurowanie systemu DNS w lokalnej domenie usług AD DS w celu obsługi łączności z usługami Domain Services
• Stwórz dwukierunkowe zaufanie lasu między domeną zarządzaną a domeną lokalną
• Testowanie i weryfikacja relacji zaufania leśnej na potrzeby uwierzytelniania i dostępu do zasobów

Jeśli nie masz subskrypcji platformy Azure, utwórz konto przed rozpoczęciem.

Warunki wstępne

Do ukończenia tego samouczka potrzebne są następujące zasoby i uprawnienia:

• Aktywna subskrypcja platformy Azure.
  • Jeśli nie masz subskrypcji platformy Azure, utwórz konto.
• Dzierżawa Microsoft Entra skojarzona z Twoją subskrypcją, zsynchronizowana z usługą katalogową lokalną lub usługą katalogową tylko w chmurze.
  • W razie potrzeby utworzyć dzierżawę usługi Microsoft Entra lub skojarzyć subskrypcję platformy Azure z kontem.
• Domena zarządzana w ramach Usług Domen, skonfigurowana z niestandardową nazwą domeny DNS i prawidłowym certyfikatem SSL.
  • W razie potrzeby utwórz i skonfiguruj zarządzaną domenę usług Microsoft Entra Domain Services
• Lokalna domena usługi Active Directory, która jest osiągalna z domeny zarządzanej za pośrednictwem połączenia sieci VPN lub usługi ExpressRoute.
• administrator aplikacji i administrator grup ról firmy Microsoft Entra w dzierżawie w celu zmodyfikowania wystąpienia usług domenowych.
• Konto administratora domeny w domenie lokalnej, które ma uprawnienia do tworzenia i weryfikowania relacji zaufania.

Ważny

Musisz użyć minimalnej jednostki SKU Enterprise dla domeny zarządzanej. Jeśli jest to konieczne, zmienić kod SKU dla domeny zarządzanej.

Zaloguj się do centrum administracyjnego firmy Microsoft Entra

W tym samouczku utworzysz i skonfigurujesz zaufanie lasu wychodzącego z usług Domain Services przy użyciu centrum administracyjnego firmy Microsoft Entra. Aby rozpocząć, najpierw zaloguj się do portalu administracyjnego Microsoft Entra.

Zagadnienia dotyczące sieci

Sieć wirtualna, która hostuje las usług katalogowych, wymaga połączenia VPN lub ExpressRoute do lokalnego Active Directory. Aplikacje i usługi wymagają również łączności sieciowej z siecią wirtualną hostująca las usług domenowych. Łączność sieciowa z lasem usług domenowych musi być zawsze włączona i stabilna, w przeciwnym razie użytkownicy mogą nie zdołać się uwierzytelnić lub uzyskać dostępu do zasobów.

Przed skonfigurowaniem zaufania lasu w usługach Domain Services upewnij się, że sieć między platformą Azure i środowiskiem lokalnym spełnia następujące wymagania:

• Upewnij się, że porty zapory zezwalają na ruch niezbędny do tworzenia i używania relacji zaufania. Aby uzyskać więcej informacji na temat portów, które muszą być otwarte, aby korzystać z relacji zaufania, zobacz Konfigurowanie ustawień zapory dla relacji zaufania AD DS.
• Użyj prywatnych adresów IP. Nie należy polegać na protokole DHCP z dynamicznym przypisaniem adresu IP.
• Unikaj nakładających się przestrzeni adresowych IP, aby umożliwić peering sieci wirtualnych i routing w celu komunikowania się z powodzeniem między Azure a środowiskiem lokalnym.
• Sieć wirtualna platformy Azure wymaga podsieci bramy do skonfigurowania połączenia sieci VPN typu lokacja-lokacja platformy Azure (S2S) lub połączenia usługi ExpressRoute.
• Utwórz podsieci z wystarczającą ilością adresów IP do obsługi scenariusza.
• Upewnij się, że usługi Domain Services mają własną podsieć, nie udostępniaj tej podsieci sieci wirtualnej maszynom wirtualnym i usługom aplikacji.
• Równorzędne sieci wirtualne NIE są przechodnie.
  • Komunikacja równorzędna sieci wirtualnych platformy Azure musi zostać utworzona między wszystkimi sieciami wirtualnymi, które mają być używane do zaufania lasu usług Domenowych do lokalnego środowiska usług AD DS.
• Zapewnij ciągłą łączność sieciową z lokalnym lasem Active Directory. Nie używaj połączeń na żądanie.
• Upewnij się, że istnieje ciągłe rozpoznawanie nazw DNS między nazwą lasu usług domenowych a lokalną nazwą lasu usługi Active Directory.

Konfigurowanie systemu DNS w domenie lokalnej

Aby poprawnie rozpoznać domenę zarządzaną ze środowiska lokalnego, może być konieczne dodanie usług przesyłania dalej do istniejących serwerów DNS. Aby skonfigurować środowisko lokalne do komunikowania się z domeną zarządzaną, wykonaj następujące kroki z poziomu stacji roboczej zarządzania dla lokalnej domeny usług AD DS:

1. Wybierz Start>Narzędzia administracyjne>DNS.

2. Wybierz strefę DNS, taką jak aaddscontoso.com.

3. Wybierz Warunkowi Przesyłacze, następnie kliknij prawym przyciskiem myszy i wybierz Nowy Warunkowy Przesyłacz...

4. Wprowadź inne domeny DNS, takie jak contoso.com, a następnie wprowadź adresy IP serwerów DNS dla tej przestrzeni nazw, jak pokazano w poniższym przykładzie:

   

5. Zaznacz pole wyboru dla Przechowuj ten warunkowy przekierowujący w usłudze Active Directory i zreplikuj go w następujący sposób, a następnie wybierz opcję Wszystkie serwery DNS w tej domenie, jak pokazano w poniższym przykładzie.

   

   Ważny

   Jeśli warunkowy przesyłacz jest przechowywany w lesie zamiast w domenie , warunkowy przesyłacz zawodzi.

6. Aby utworzyć przesyłacz warunkowy, wybierz opcję OK.

Tworzenie dwukierunkowego zaufania lasu w domenie lokalnej

Lokalna domena AD DS wymaga dwukierunkowego zaufania między lasami dla domeny zarządzanej. To zaufanie musi zostać utworzone ręcznie w lokalnej domenie usług AD DS; Nie można go utworzyć w centrum administracyjnym firmy Microsoft Entra.

Aby skonfigurować dwukierunkową relację zaufania w lokalnej domenie usług AD DS, wykonaj następujące kroki jako administrator domeny ze stacji roboczej zarządzania dla lokalnej domeny usług AD DS:

1. Wybierz Start>Narzędzia administracyjne>Domeny i zaufanie usługi Active Directory.
2. Kliknij prawym przyciskiem myszy domenę, taką jak onprem.contoso.com, następnie wybierz Właściwości .
3. Wybierz kartę Zaufania, a następnie Nowe Zaufanie.
4. Wprowadź nazwę domeny usług Domain Services, taką jak aaddscontoso.com, a następnie wybierz pozycję Dalej.
5. Wybierz opcję utworzenia zaufania lasu , a następnie utwórz zaufanie dwukierunkowe .
6. Wybierz opcję utworzenia zaufania tylko dla tej domeny . W następnym kroku utworzysz zaufanie w centrum administracyjnym firmy Microsoft Entra dla domeny zarządzanej.
7. Wybierz opcję uwierzytelniania dla całego lasu, a następnie wprowadź i potwierdź hasło. To samo hasło jest również wprowadzane w centrum administracyjnym firmy Microsoft Entra w następnej sekcji.
8. Przejdź przez kolejne kilka okien z ustawieniami domyślnymi, a następnie wybierz opcję Nie, nie potwierdzaj zaufania wychodzącego.
9. Wybierz pozycję Zakończ.

Jeśli zaufanie leśne nie jest już potrzebne w środowisku, wykonaj następujące kroki jako użytkownik z uprawnieniami administratora domeny, aby usunąć je z domeny lokalnie umieszczonej:

1. Wybierz pozycję Start>Narzędzia administracyjne>Domeny i zaufania usługi Active Directory.
2. Kliknij prawym przyciskiem myszy domenę, taką jak onprem.contoso.com, a następnie wybierz Właściwości .
3. Wybierz kartę Zaufania, a następnie Domeny, które ufają tej domenie (przychodzące relacje zaufania), kliknij relację zaufania, którą chcesz usunąć, a następnie kliknij Usuń.
4. Na karcie Zaufania w obszarze Domeny, którym ufa ta domena (wychodzące relacje zaufania)kliknij zaufanie, które chcesz usunąć, a następnie kliknij przycisk Usuń.
5. Kliknij przycisk Nie, usuń relację zaufania tylko z domeny lokalnej.

Tworzenie dwukierunkowego zaufania lasu w usługach Domain Services

Aby utworzyć dwukierunkową relację zaufania dla domeny zarządzanej w centrum administracyjnym firmy Microsoft Entra, wykonaj następujące kroki:

1. W centrum administracyjnym firmy Microsoft Entra wyszukaj i wybierz pozycję Microsoft Entra Domain Services, a następnie wybierz domenę zarządzaną, taką jak aaddscontoso.com.

2. Z menu po lewej stronie zarządzanej domeny wybierz Trusts, a następnie wybierz opcję + Dodaj zaufanie.

3. Wybierz dwukierunkowe jako kierunek zaufania.

4. Wprowadź nazwę wyświetlaną identyfikującą zaufanie, a następnie nazwę DNS zaufanego lasu lokalnego, taką jak onprem.contoso.com.

5. Podaj to samo hasło zaufania, które zostało użyte do skonfigurowania zaufania do lasu przychodzącego dla lokalnej domeny AD DS w poprzedniej sekcji.

6. Podaj co najmniej dwa serwery DNS dla lokalnej domeny usług AD DS, takich jak 10.1.1.4 i 10.1.1.5.

7. Gdy wszystko będzie gotowe, zapisz zewnętrzne zaufanie leśne.

   

Jeśli zaufanie do lasu nie jest już potrzebne dla środowiska, wykonaj następujące kroki, aby usunąć je z usług domenowych:

1. W centrum administracyjnym firmy Microsoft Entra wyszukaj i wybierz pozycję Microsoft Entra Domain Services, a następnie wybierz domenę zarządzaną, taką jak aaddscontoso.com.
2. W menu po lewej stronie zarządzanej domeny wybierz Trusts, wybierz zaufanie, a następnie kliknij Usuń.
3. Podaj to samo hasło zaufania, które zostało użyte do skonfigurowania zaufania lasu, a następnie kliknij przycisk OK.

Weryfikowanie uwierzytelniania zasobów

Następujące typowe scenariusze umożliwiają sprawdzenie, czy zaufanie lasu prawidłowo uwierzytelnia użytkowników i dostęp do zasobów:

• uwierzytelnianie użytkownika lokalnego z lasu usług domenowych
• dostęp do zasobów w lesie usług domenowych przy użyciu użytkownika lokalnego
  • Włączanie udostępniania plików i drukarek
  • Tworzenie grupy zabezpieczeń i dodawanie członków
  • Tworzenie udziału plików na potrzeby dostępu między lasami
  • Weryfikowanie uwierzytelniania między lasami w zasobie

Uwierzytelnianie użytkowników lokalnych z lasu usług domenowych

Maszyna wirtualna z systemem Windows Server powinna być przyłączona do domeny zarządzanej. Użyj tej maszyny wirtualnej, aby przetestować, czy Twój użytkownik lokalny może się uwierzytelnić na maszynie wirtualnej. W razie potrzeby utwórz maszynę wirtualną z systemem Windows i dołącz ją do domeny zarządzanej.

1. Połącz się z maszyną wirtualną z systemem Windows Server przyłączonym do lasu usług domenowych przy użyciu usługi Azure Bastion i poświadczeń administratora usług Domenowych.

2. Otwórz wiersz polecenia i użyj polecenia whoami, aby wyświetlić nazwę wyróżniającą aktualnie uwierzytelnionego użytkownika:

   whoami /fqdn
   

3. Użyj polecenia runas, aby uwierzytelnić się jako użytkownik z domeny lokalnej. W poniższym poleceniu zastąp userUpn@trusteddomain.com nazwą UPN użytkownika z zaufanej domeny lokalnej. Polecenie prosi o podanie hasła użytkownika:

   Runas /u:userUpn@trusteddomain.com cmd.exe
   

4. Jeśli uwierzytelnianie zakończy się pomyślnie, zostanie otwarty nowy wiersz polecenia. Tytuł nowego wiersza polecenia zawiera running as userUpn@trusteddomain.com.

5. Użyj whoami /fqdn w nowym wierszu polecenia, aby wyświetlić nazwę wyróżniającą uwierzytelnionego użytkownika z lokalnej usługi Active Directory.

Uzyskiwanie dostępu do zasobów w lesie usług Domain Services przy użyciu użytkownika lokalnego

Z maszyny wirtualnej z systemem Windows Server przyłączonej do lasu Usług domenowych możesz przetestować scenariusze. Możesz na przykład sprawdzić, czy użytkownik, który loguje się do domeny lokalnej, może uzyskać dostęp do zasobów w domenie zarządzanej. W poniższych przykładach opisano typowe scenariusze testowe.

Włączanie udostępniania plików i drukarek

1. Połącz się z maszyną wirtualną z systemem Windows Server przyłączonym do lasu usług domenowych przy użyciu usługi Azure Bastion i poświadczeń administratora usług Domenowych.

2. Otwórz ustawienia systemu Windows.

3. Wyszukaj i wybierz Centrum sieci i udostępniania.

4. Wybierz opcję Zmień zaawansowane ustawienia udostępniania.

5. W obszarze profilu domenywybierz pozycję Włącz udostępnianie plików i drukarek, a następnie Zapisz zmiany.

6. Zamknij Centrum sieci i udostępniania.

Tworzenie grupy zabezpieczeń i dodawanie członków

1. Otwórz Użytkownicy i komputery usługi Active Directory.

2. Wybierz prawym przyciskiem nazwę domeny, wybierz pozycję Nowy, a następnie wybierz pozycję Jednostka organizacyjna.

3. W polu nazwy wpisz LocalObjects, a następnie wybierz pozycję OK.

4. Wybierz i kliknij prawym przyciskiem myszy LocalObjects w okienku nawigacji. Wybierz Nowy, a następnie grupę.

5. Wpisz FileServerAccess w polu Nazwa grupy. Dla zakresu grupy wybierz Domena lokalna, a następnie OK.

6. W okienku zawartości kliknij dwukrotnie FileServerAccess. Wybierz Członkowie, wybierz Dodaj, a następnie wybierz Lokalizacje.

7. Wybierz z widoku lokalizacji swoją lokalną usługę Active Directory, a następnie naciśnij OK.

8. Wpisz Użytkownicy domeny w polu Wprowadź nazwy obiektów do wyboru. Wybierz pozycję Sprawdź nazwy, podaj poświadczenia dla lokalnej usługi Active Directory, a następnie wybierz pozycję OK.

   Notatka

   Musisz podać poświadczenia, ponieważ relacja zaufania jest tylko jednym ze sposobów. Oznacza to, że użytkownicy z domeny zarządzanej usług Domain Services nie mogą uzyskiwać dostępu do zasobów ani wyszukiwać użytkowników lub grup w zaufanej domenie (lokalnej).

9. Grupa Użytkownicy Domeny z lokalnego Active Directory powinna być członkiem grupy FileServerAccess. Wybierz pozycję OK, aby zapisać grupę i zamknąć okno.

Tworzenie udziału plików na potrzeby dostępu między lasami

1. Na maszynie wirtualnej z systemem Windows Server przyłączonej do lasu usług domenowych utwórz folder i podaj nazwę, taką jak CrossForestShare.
2. Kliknij prawym przyciskiem myszy folder i wybierz właściwości .
3. Wybierz kartę zabezpieczeń, a następnie wybierz pozycję Edytuj.
4. W oknie dialogowym Uprawnienia dla CrossForestShare wybierz pozycję Dodaj.
5. Wpisz FileServerAccess w Wprowadź nazwy obiektów, aby wybrać, a następnie wybierz pozycję OK.
6. Wybierz FileServerAccess z listy Grupy lub nazwy użytkowników. Na liście Uprawnienia funkcji FileServerAccess wybierz Zezwalaj na Modyfikowanie i uprawnienia zapisu, a następnie wybierz pozycję OK.
7. Wybierz kartę Udostępnianie, a następnie wybierz pozycję Udostępnianie zaawansowane....
8. Wybierz pozycję Udostępnij ten folder, a następnie wprowadź łatwą do zapamiętania nazwę dla udziału plików w Nazwa udziału, na przykład CrossForestShare.
9. Wybierz Uprawnienia. Na liście Uprawnienia dla wszystkich wybierz Zezwól dla uprawnienia Zmień.
10. Wybierz OK dwa razy, a następnie Zamknij.

Walidacja uwierzytelniania między lasami do zasobu

1. Zaloguj się na komputerze z systemem Windows przyłączonym do lokalnej usługi Active Directory przy użyciu konta użytkownika z lokalnej usługi Active Directory.

2. Za pomocą Eksploratora Windowspołącz się z utworzonym udziałem przy użyciu w pełni kwalifikowanej nazwy hosta i udziału, na przykład \\fs1.aaddscontoso.com\CrossforestShare.

3. Aby zweryfikować uprawnienie do zapisu, wybierz prawym przyciskiem myszy w folderze, wybierz pozycję Nowy, a następnie wybierz pozycję Dokument tekstowy. Użyj nazwy domyślnej nowy dokument tekstowy.

   Jeśli uprawnienia do zapisu są ustawione poprawnie, zostanie utworzony nowy dokument tekstowy. Wykonaj poniższe kroki, aby otworzyć, edytować i usunąć plik zgodnie z potrzebami.

4. Aby zweryfikować uprawnienie do odczytu, otwórz Nowy Dokument Tekstowy.

5. Aby zweryfikować uprawnienie modyfikacji, dodaj tekst do pliku i zamknij Notatnik. Po wyświetleniu monitu o zapisanie zmian wybierz pozycję Zapisz.

6. Aby zweryfikować uprawnienie do usuwania, wybierz prawym przyciskiem nowy dokument tekstowy i wybierz Usuń. Wybierz pozycję Tak, aby potwierdzić usunięcie pliku.

Następne kroki

W tym samouczku przedstawiono sposób wykonywania następujących instrukcji:

• Konfigurowanie systemu DNS w lokalnym środowisku usług AD DS w celu obsługi łączności z usługami Domain Services
• Tworzenie jednokierunkowego przychodzącego zaufania lasu w lokalnym środowisku AD DS
• Tworzenie jednokierunkowego zaufania lasu wychodzącego w usługach Domain Services
• Testowanie i weryfikowanie relacji zaufania na potrzeby uwierzytelniania i dostępu do zasobów

Aby uzyskać więcej informacji koncepcyjnych na temat lasu w usługach Domain Services, zobacz Jak działają relacje zaufania lasu w usługach Domain Services?.